Publicat el nou Reial decret que regula l'Esquema Nacional de Seguretat

El Reial decret 311/2022, de 3 de maig, pel qual es regula l'Esquema Nacional de Seguretat , aprovat pel Consell de Ministres de 3 de maig de 2022, substitueix al Reial decret 3/2010, de 8 de gener, pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'Administració Electrònica.

L'objecte de la norma és l'actualització de l'Esquema Nacional de Seguretat (ENS) per adaptar-ho a la nova realitat normativa i a l'increment de les ciberamenazas tant quantitativa com qualitativament, i així poder garantir una resposta més adequada davant els ciberatacs, propiciant la resiliència dels sistemes, i proporcionant un tractament més segur/segur de la informació i els serveis públics.

Per acomodar una resposta a les amenaces provinents del ciberespai, l'actualització de l'ENS persegueix tres grans objectius.

Primer, alinear l'ENS amb el marc normatiu i el context estratègic existents per garantir la seguretat en l'Administració Digital. Per aconseguir-ho, s'aclareix l'àmbit d'aplicació de l'ENS i s'actualitzen les referències al marc legal vigent, de manera que se simplifiquin i harmonitzin els mandats de l'ENS.

Segon, introduir la capacitat d'ajustar els requisits de l'ENS per garantir la seva adaptació a la realitat de certs col·lectius o tipus de sistemes, atenent a la semblança dels riscos als quals estan exposats els seus sistemes d'informació.

Tercer, reforçar la protecció enfront de les tendències en ciberseguretat mitjançant la revisió dels principis bàsics, els requisits mínims i les mesures de seguretat que han d'adoptar-se per les entitats subjectes a l'ENS.

Els sistemes afectats hauran d'adequar-se al que es disposa en el reial decret en un termini de vint-i-quatre mesos explicats a partir de la seva entrada en vigor.

L'esforç realitzat per a l'actualització de l'ENS respon a l'execució de la Reforma 9.3 “Una Administració Cibersegura” del Pla de Digitalització de les Administracions Públiques 2021-2025, així com a les reformes previstes en l'agenda Espanya Digital 2025, amb la finalitat de convertir-se en una mesura urgent de reforç del marc normatiu en matèria de ciberseguretat.

Les novetats

cal destacar les següents novetats:

• S'ha revisat i actualitzat la redacció de l'àmbit d'aplicació (art 2 i DONA 3ª) amb una doble finalitat:

En primer lloc, per aclarir-ho i que tots dos sectors, públic i privat (proveïdors o subministradors tecnològics de les entitats del sector públic), siguin conscients del que els és exigible, en benefici últim de la ciberseguretat pública i dels drets dels ciutadans.

En segon lloc, per estendre la seva aplicació als sistemes que manegen o tracten informació classificada, sense perjudici que pogués resultar necessari complementar les mesures de seguretat previstes en l'ENS amb altres específiques per a tals sistemes.

• S'ha realitzat la clarificació, precisió, homogeneïtzació, simplificació, o actualització de diferents aspectes del text, així com l'eliminació d'aspectes no necessaris o excessius (un capítol de ‘Comunicacions electròniques’, amb tres articles, ja superat per les lleis 39/2015, d'1 d'octubre i 40/2015, d'1 d'octubre, i el seu desenvolupament reglamentari).

• A través del nou article 30 s'han incorporat els perfils de compliment específics que introdueixen la capacitat d'ajustar els requisits de l'ENS a necessitats específiques, mitjançant la definició d'un conjunt de mesures de seguretat que resultin d'aplicació a una entitat o sector d'activitat concreta, i per a una determinada categoria de seguretat (per ex. per a Entitats Locals), la qual cosa permet aconseguir una adaptació a l'ENS més eficaç i eficient, racionalitzant els recursos requerits sense menyscapte de la protecció perseguida i exigible.

• S'han revisat els principis bàsics, els requisits mínims i les mesures de seguretat:

1. El principi abans denominat ‘prevenció, reacció i recuperació’ passa a denominar-se ‘prevenció, detecció i resposta’, entenent que la “recuperació” es troba subsumida en el concepte més ampli de “resposta”, que ho inclou.

2. S'introdueix el principi de “vigilància contínua” per permetre la detecció d'activitats o comportaments anòmals i la seva oportuna resposta i impulsar l'avaluació permanent de l'estat de la seguretat dels actius, per detectar vulnerabilitats i identificar deficiència de configuració.

3.  S'aclareix la redacció del principi “responsabilitats diferenciades” per precisar els aspectes relatius al responsable de la seguretat i al responsable del sistema.

• En l'article 12 “Política de seguretat i requisits mínims de seguretat” s'expliciten quins són els elements principals que ha d'incloure la política de seguretat; qui han de disposar de la citada política incloent cada administració almenys, cada òrgan o entitat amb personalitat jurídica pròpia sense perjudici de poder quedar inclosos en l'àmbit subjectiu de la política de seguretat de l'Administració amb la qual guardin relació de vinculació, dependència o adscripció; i, finalment, es precisa que en l'àmbit de l'Administració General de l'Estat, cada ministeri comptarà amb la seva política de seguretat, mentre que els organismes públics o entitats pertanyents al sector públic institucional estatal podran ben comptar amb la seva pròpia política de seguretat o, bé quedar compresos en l'àmbit de la política de seguretat del Departament amb el qual mantinguin relació de vinculació, dependència o adscripció.

• En l'article 13 “Organització i implantació de la seguretat” s'aclareix el paper de les figures principals en l'aplicació de l'ENS: responsable de la informació, responsable del servei, responsable del sistema, responsable de la seguretat. A més, en el cas dels serveis externalitzats és necessari comptar amb una figura que ajudi a canalitzar i supervisar el compliment dels requisits de seguretat del servei que presta, així com la gestió dels possibles incidents de seguretat raó per la qual s'estableix que aquests serveis han de comptar amb un punt d'explicat. En qualsevol cas la responsabilitat última resideix en l'entitat del sector públic destinatària o contractant dels serveis en qüestió que ha d'exigir als seus subministradors la deguda diligència en matèria de seguretat.

• En el capítol dels requisits mínims de seguretat es reforcen la importància de la política de seguretat i el requisit mínim “seguretat per defecte” que passa a denominar-se “mínim privilegi”, amb diverses millores en altres requisits mínims. Efectivament, quant a la relació de requisits mínims inclosa a l'apartat 6, se significa l'evolució de la denominació del requisit de la lletra h) “Seguretat per defecte” segons el reial decret de 2010, cap a la denominació “mínim privilegi” per respondre millor a l'escenari actual i esdevenidor que emfatitza que les funcionalitats dels sistemes han de configurar-se de manera que siguin les mínimes i necessàries perquè l'organització aconsegueixi els seus objectius. D'altra banda, en relació amb la lletra f) “Protecció de les instal·lacions” en l'article 18 que tracta aquesta qüestió s'estableix una vinculació amb la legislació relativa a la protecció de les infraestructures crítiques.

• En l'article 28 “Compliment dels requisits mínims” es deixa oberta la possibilitat que, una vegada satisfets els mínims exigibles, el responsable de seguretat pugui, en funció dels resultats de l'anàlisi de riscos, a la llum de l'estat de l'art de la tecnologia, de la naturalesa de la informació tractada i dels serveis prestats i dels riscos identificats, ampliar les mesures de protecció amb els reforços que s'identifiquen per a les mateixes.

• S'ha perfeccionat l'article 33 “Capacitat de resposta a incidents de seguretat de la informació” en el qual es detallen de forma més detallada:

1. Les condicions relatives a la notificació d'incidents de seguretat per part de les entitats del sector públic al CCN-CERT i a les corresponents actuacions resposta per part de la Secretaria General d'Administració Digital i del CCN-CERT.

2. Les condicions de la notificació d'incidents de seguretat a l'INCIBE-CERT per part de les entitats del sector privat que presti serveis a les entitats públiques; tot això en el marc del previst en el Reial decret 43/2021, de 26 de gener.

3. El paper d'altres actors com l'Oficina de Coordinació de Ciberseguretat del Ministeri de l'Interior quan un operador essencial que hagi estat designat com a operador crític sofreixi un incident; l'ESPDEF-CERT del Comandament Conjunt del Ciberespai (MCCE) quan un operador amb incidència en la Defensa Nacional sofreixi un incident; la Intervenció General de l'Administració de l'Estat quan es tracti d'un incident de seguretat que afecti a un mitjà o servei comú sota el seu àmbit de responsabilitat.

• La disposició transitòria, sobre adequació de sistemes, contempla un termini de vint-i-quatre mesos per a l'adequació a l'ENS dels sistemes preexistents a la seva entrada en vigor, circumstància que es manifestarà amb l'exhibició del corresponent distintiu de conformitat derivats de declaracions o certificacions. La disposició té present que hi haurà sistemes que ja comptaran amb els corresponents distintius de conformitat i que, segons la pràctica habitual amb aquest tipus de distintius, podran mantenir la seva vigència procedint a la seva renovació a mesura que arribi la seva caducitat abans que arribi el citat termini.

• En l'annex II de mesures de seguretat, s'han actualitzat les mesures de seguretat en el marc operacional i en les mesures de protecció. Com a resultat d'aquestes modificacions de detall, algunes mesures han ampliat considerablement el seu nivell d'exigència per determinades categories (10), i unes altres ho han augmentat lleument (14). Per contra, altres mesures han simplificat el seu nivell d'exigència (6), i algunes mesures han estat eliminades i/o englobades dins d'altres (9). Finalment, s'han creat noves mesures que no existien (6). La resta, només han sofert canvis de redacció, o s'han concretat:

• Entre les noves mesures, s'han inclòs les relatives a serveis en el núvol, interconnexió de sistemes, protecció de la cadena de subministrament (al·ludeix als proveïdors o subministradors tecnològics de les entitats del sector públic), mitjans alternatius, vigilància i altres dispositius connectats a la xarxa.

• S'han reforçat mesures relatives a la identificació, la configuració de seguretat, la gestió de la configuració de seguretat, la protecció enfront del codi nociu, el registre d'activitat, la gestió de capacitat, la detecció d'intrusió, el sistema de mètriques i l'acceptació i posada en servei.

• Altres mesures amb un reforç més lleuger inclouen els requisits d'accés, la gestió de canvis, la gestió d'incidents, manteniment i actualitzacions de seguretat, protecció de la confidencialitat i còpies de seguretat.

• S'han simplificat algunes mesures com a segregació de tasques, segells de temps, qualificació de la informació, protecció de dispositius portàtils, protecció enfront de denegació de servei o perímetre segur/segur.

• S'han eliminat mesures tals com les relatives a personal alternatiu, mitjans alternatius, protecció dels registres d'activitat per estar cobertes per altres mesures. 

Finalment, com a ajuda a la implantació i revisió de les mesures de protecció, d'una banda, s'han codificat els seus requisits; i, per una altra, per indicar una major exigència s'empren els reforços de seguretat, també codificats, que se sumen als requisits basi de la mesura, però que no sempre són incrementals entre si; de manera que, en certs casos, es pot triar entre aplicar un reforç o un altre d'entre els recollits per a les mesures en funció de l'anàlisi dels riscos i del criteri del responsable de la seguretat.